Wzbogacanie jednostek w usłudze Microsoft Sentinel przy użyciu danych geolokalizacji za pośrednictwem interfejsu API REST (publiczna wersja zapoznawcza)
W tym artykule pokazano, jak wzbogacić jednostki w usłudze Microsoft Sentinel przy użyciu danych geolokalizacji przy użyciu interfejsu API REST.
Ważne
Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Typowe parametry identyfikatora URI
Poniżej przedstawiono typowe parametry identyfikatora URI dla interfejsu API geolokalizacji:
| Nazwisko | W | Wymagania | Type | Opis |
|---|---|---|---|---|
| {subscriptionId} | path | tak | Identyfikator GUID | Identyfikator subskrypcji platformy Azure |
| {resourceGroupName} | path | tak | string | Nazwa grupy zasobów w ramach subskrypcji |
| {api-version} | zapytanie | tak | string | Wersja protokołu użytego do wykonania tego żądania. Od 30 kwietnia 2021 r. interfejs API geolokalizacji to 2019-01-01-preview. |
| {ipAddress} | zapytanie | tak | string | Adres IP, dla którego potrzebne są informacje o geolokalizacji w formacie IPv4 lub IPv6. |
Wzbogacanie adresu IP za pomocą informacji o geolokalizacji
To polecenie pobiera dane geolokalizacji dla danego adresu IP.
Identyfikator URI żądania
| Method | Identyfikator URI żądania |
|---|---|
| GET | https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.SecurityInsights/enrichment/ip/geodata/?ipaddress={ipAddress}&api-version={api-version} |
Odpowiedzi
| Kod stanu | opis |
|---|---|
| 200 | Sukces |
| 400 | Adres IP nie został podany lub jest w nieprawidłowym formacie |
| 404 | Nie można odnaleźć danych geolokalizacji dla tego adresu IP |
| 429 | Zbyt wiele żądań, spróbuj ponownie w określonym przedziale czasu |
Pola zwrócone w odpowiedzi
| Nazwa pola | opis |
|---|---|
| ASN | Numer systemu autonomicznego skojarzony z tym adresem IP |
| przewoźnik | Nazwa operatora dla tego adresu IP |
| miasto | Miasto, w którym znajduje się ten adres IP |
| cityCf | Ocena liczbowa pewności, że wartość pola "miasto" jest poprawna w skali 0–100 |
| kontynent | Kontynent, na którym znajduje się ten adres IP |
| kraj | Kraj/region, w którym znajduje się ten adres IP |
| countryCf | Ocena liczbowa pewności, że wartość pola "kraj" jest poprawna w skali od 0 do 100 |
| ipAddr | Ciąg rozdzielany kropkami lub dwukropkiem reprezentujący adres IP |
| ipRoutingType | Opis typu połączenia dla tego adresu IP |
| szerokość geograficzna | Szerokość geograficzna tego adresu IP |
| długość | Długość geograficzna tego adresu IP |
| organizacja | Nazwa organizacji dla tego adresu IP |
| organizationType | Typ organizacji dla tego adresu IP |
| region | Region geograficzny, w którym znajduje się ten adres IP |
| state | Stan, w którym znajduje się ten adres IP |
| stateCf | Ocena liczbowa pewności, że wartość w polu "state" jest poprawna w skali od 0 do 100 |
| stateCode | Skrócona nazwa stanu, w którym znajduje się ten adres IP |
Limity ograniczania przepustowości dla interfejsu API
Ten interfejs API ma limit 100 wywołań na użytkownika na godzinę.
Przykładowa odpowiedź
"body":
{
"asn": "12345",
"carrier": "Microsoft",
"city": "Redmond",
"cityCf": 90,
"continent": "north america",
"country": "united states",
"countryCf": 99
"ipAddr": "1.2.3.4",
"ipRoutingType": "fixed",
"latitude": "40.2436",
"longitude": "-100.8891",
"organization": "Microsoft",
"organizationType": "tech",
"region": "western usa",
"state": "washington",
"stateCf": null
"stateCode": "wa"
}
Następne kroki
Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:
Dowiedz się więcej o jednostkach:
Eksplorowanie innych zastosowań interfejsu API usługi Microsoft Sentinel